Wanneer is een beveiligingsniveau ‘passend’ volgens de wet?

Steeds vaker worden wettelijke eisen gesteld aan de beveiliging van (persoons-) gegevens. Omdat wetgeving per definitie achter de feiten aanloopt en de ontwikkelingen op technisch gebied razendsnel gaan, wordt wetgeving vaak ‘technologie-neutraal’ opgesteld. Een nadelig gevolg is dat de regels daardoor abstract en vaag worden.

Zo schrijft de privacywetgeving voor, dat bij de verwerking van persoonsgegevens ‘passende technische en organisatorische maatregelen’ moeten worden getroffen. Die maatregelen moeten leiden tot een ‘passend beveiligingsniveau’. Dit soort eisen zien we ook terugkomen in andere wetgeving. Maar wat wordt er nou eigenlijk mee bedoeld?

In het woordje ‘passend’ ligt besloten dat de maatregelen proportioneel moeten zijn. Wat proportioneel is, verschilt van geval tot geval. Zo kunnen bepaalde beveiligingsmaatregelen bij precies dezelfde gegevensverwerkingen in het ene geval ‘passend’ zijn, maar onder andere omstandigheden ontoereikend.

Een voorbeeld: twee verenigingen sturen een nieuwsbrief naar hun leden. De risico’s van de verwerkingen zijn praktisch hetzelfde. Maar omdat de ene vereniging een tennisclub is en de andere een groep voor lotgenoten van seksueel misbruik, moet er een verschillend beveiligingsniveau gehanteerd worden. De gegevens zijn in het laatste geval immers een stuk gevoeliger van aard dan bij de tennisclub. Komt de informatie op straat te liggen, dan heeft dit grotere gevolgen voor de betrokkenen.

Vooropgesteld dient te worden dat de organisatie zelf moet afwegen wanneer sprake is van een ‘passend beveiligingsniveau’. Zij doet dit het beste door de plan-do-check-act-methode toe te passen. De vier stappen uit deze methode vormen het uitgangspunt bij deze bespreking.

Plan: opstellen van betrouwbaarheidseisen

De betrouwbaarheidseisen geven weer aan welke eisen het informatiesysteem moet voldoen. De betrouwbaarheid van een systeem wordt doorgaans beschreven aan de hand van drie aspecten: confidentiality, integrity en availability. Om betrouwbaarheidseisen op te kunnen stellen, zal vaak eerst een risicoanalyse gemaakt moeten worden. Uitgegaan moet worden van de risico’s voor de betrokkenen (dus niet de organisatie zelf) en de gevolgen voor hen, wanneer de risico’s zich verwezenlijken. In het voorbeeld van de verenigingen bestaat het risico uit het lekken van persoonsgegevens.

Do: treffen van maatregelen

De betrouwbaarheidseisen moeten vertaald worden naar concrete beveiligingsmaatregelen. Die kunnen technisch, maar ook organisatorisch van aard zijn. Maatregelen kunnen erop gericht zijn de kans dat risico’s zich voordoen te verlagen, maar kunnen er ook op gericht zijn de gevolgen voor betrokkenen te verkleinen. Voorbeeld: het versleutelen van gegevens leidt in principe niet tot een verminderde kans op een lek, maar wel tot lagere risico’s. Andersom leidt anti-virussoftware tot een kleinere kans dat het risico zich voordoet, maar blijven de mogelijke gevolgen voor betrokkenen – bij het voordoen van het risico – even groot.

Bij het opstellen van beveiligingsmaatregelen kan aangesloten worden bij gangbare beveiligingsstandaarden, zoals ISO/NEN 27002. Deze standaard geeft best practices en is algemeen van aard, in die zin dat het een proces voorschrijft om tot goede beveiligingsmaatregelen te komen. Andere standaarden zijn specifieker, zoals NEN 7510 (zorgsector).

Voor kleinere organisaties is het niet ‘passend’ om externe partijen in te schakelen om beveiligingsstandaarden te implementeren. Externe audits brengen kunnen immers aanzienlijke kosten met zich brengen. Maar ook kleinere organisaties moeten een passend beveiligingsniveau hanteren. Zonder volledigheid na te streven, kunnen de volgende handvatten worden aangereikt:

• Ga bewust om met informatiebeveiliging; zorg er bijvoorbeeld voor dat de software up-to-date is en dat patches geïnstalleerd worden.
• Stel een intern beveiligingsbeleid op en zorg ervoor dat alle medewerkers dit kennen en ernaar handelen.
• Denk aan geheimhouding door zowel werknemers als derde partijen; leg dit indien nodig vast in een overeenkomst.
• Ontwikkel procedures met betrekking tot de omgang met incidenten en het doen van meldingen vanwege de meldplicht datalekken.

Check: controle van toepassing beveiligingsmaatregelen

Een organisatie kan op verschillende manieren controleren of de beveiligingsmaatregelen juist worden toegepast. Controles kunnen worden ingebouwd in de technische instrumenten of de organisatorische processen. Ook kan men denken aan periodieke beveiligingsassessments, werkplekcontroles en social engineering tests. Nieuwe of aangepaste informatiesystemen moeten natuurlijk goed getest worden voor ze in gebruik worden genomen.

Act: evalueren en aanpassen van beveiligingsmaatregelen

Op dit moment in de plan-do-check-act-cyclus zijn beveiligingseisen opgesteld, maatregelen getroffen en zijn controles uitgevoerd. Het is belangrijk om dat geheel aan acties periodiek te evalueren en indien nodig aan te passen. Ga bijvoorbeeld na of de vastgestelde beveiligingseisen nog aansluiten op de risico’s, of de getroffen maatregelen nog passend zijn gezien de stand van de techniek en of de gebruikte controlemethoden nog relevant zijn.

Tot slot: handhaving door toezichthouders

Dat organisaties zelf moeten afwegen welk beveiligingsniveau ‘passend’ is, betekent niet dat zij volledig vrij spel hebben. Hun beveiligingsbeleid kan getoetst worden door bijvoorbeeld de ACM of het CBP (vanaf 1 januari 2016: Autoriteit Persoonsgegevens). Er dreigen fikse boetes als blijkt dat het beveiligingsniveau niet voldoet. Maar vergeet ook niet de impact die beveiligingsincidenten hebben op de goede naam van uw organisatie.

Ook wanneer een passend beveiligingsniveau wordt gehanteerd, kan een beveiligingsincident niet worden uitgesloten. Het is dan zaak om aan te kunnen tonen dat uw organisatie naar redelijkheid de nodige maatregelen heeft getroffen om het incident te voorkomen. Van belang is ook wat uw organisatie heeft gedaan om het incident te bestrijden en de nadelige gevolgen te beperken.